Module 4: Inter-VLAN Routing •Instructor Materials Switching, Routing and Wireless Essentials v7.0 (SRWE) Cisco Networking Academy Program Switching, Routing and Wireless Essentials v7.0 (SRWE) Module 4: Inter-VLAN Routing ‹#› © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Module 4: Activities Page # Activity Type Activity Name Optional? 4.1.5 Check Your Understanding Inter-VLAN Routing Operations Recommended 4.2.7 Packet Tracer Configure Router-on-a-Stick Inter-VLAN Routing Recommended 4.2.8 Lab Configuring 802.1Q Trunk-Based Inter-VLAN Routing Recommended 4.3.8 Packet Tracer Configure Layer 3 Switching and inter-VLAN Routing Recommended 4.4.7 Check Your Understanding Troubleshoot Inter-VLAN Routing Recommended 4.4.8 Packet Tracer Troubleshoot Inter-VLAN Routing Recommended 4.4.9 Lab Troubleshoot Inter-VLAN Routing Recommended Module 4: Best Practices •Topic 4.1 •What do you think is a contributor to the limit on the number of VLANs supported by Router-on-a-Stick Inter-VLAN Routing? •What do you think the difference is between a router loopback interface and a router subinterface? •Topic 4.2 •What do you think the primary benefit provided by Router-on-a-stick as opposed to Legacy Inter-VLAN Routing? •How does the router handle designation of the Native VLAN? •Topic 4.3 •What is the biggest savings you can see with using a Layer 3 Switch as an Inter-VLAN Router? •What is the impact of the no switchport command? •Topic 4.4 •What do you think is the most common cause of errors in the implementation of Inter-VLAN Routing? •Given all the moving parts, what kind of Inter-VLAN Routing do you think lends itself to the lowest number of implementation errors? • • • • • § § •Téma 4.1 •Co podle vás přispívá k omezení počtu VLAN podporovaných Router-on-a-Stick Inter-VLAN Routing? •Jaký je podle vás rozdíl mezi interface loopbacku routeru a subinterface routeru? •Téma 4.2 •Jaká je primární výhoda uspořádání Router-on-a-stick na rozdíl od Legacy Inter-VLAN Routing? •Jak router zpracovává nativní VLAN? •Téma 4.3 •Jaké jsou největší úspory, kterých můžete dosáhnout při použití přepínače L3 jako směrovače Inter-VLAN? •Jaký je dopad příkazu no switchport? •Téma 4.4 •Co je podle vás nejčastější příčinou chyb při implementaci směrování Inter-VLAN? •Jaký druh směrování Inter-VLAN je podle vás vhodný z hlediska nejnižšího počtu chyb při implementaci? Dotazy Module Objectives • •Module Objective: Troubleshoot inter-VLAN routing on Layer 3 devices § Topic Title Topic Objective Inter-VLAN Routing Operation Describe options for configuring inter-VLAN routing. Router-on-a-Stick Inter-VLAN Routing Configure router-on-a-stick inter-VLAN routing. Inter-VLAN Routing using Layer 3 Switches Configure inter-VLAN routing using Layer 3 switching. Troubleshoot Inter-VLAN Routing Troubleshoot common inter-VLAN configuration issues. 4.1 Inter-VLAN Routing Operation 4- Inter-VLAN Routing 4.1 – Inter-VLAN Routing Operation What is Inter-VLAN Routing? •VLANs are used to segment switched Layer 2 networks for a variety of reasons. Regardless of the reason, hosts in one VLAN cannot communicate with hosts in another VLAN unless there is a router or a Layer 3 switch to provide routing services. • •Inter-VLAN routing is the process of forwarding network traffic from one VLAN to another VLAN. • •There are three inter-VLAN routing options: •Legacy Inter-VLAN routing - This is a legacy solution. It does not scale well. •Router-on-a-Stick - This is an acceptable solution for a small to medium-sized network. •Layer 3 switch using switched virtual interfaces (SVIs) - This is the most scalable solution for medium to large organizations. • 4 – Inter-VLAN Routing 4.1 – Inter-VLAN Routing Operation 4.1.1 - What is Inter-VLAN Routing? Legacy Inter-VLAN Routing •The first inter-VLAN routing solution relied on using a router with multiple Ethernet interfaces. Each router interface was connected to a switch port in different VLANs. The router interfaces served as the default gateways to the local hosts on the VLAN subnet. •Legacy inter-VLAN routing using physical interfaces works, but it has a significant limitation. It is not reasonably scalable because routers have a limited number of physical interfaces. Requiring one physical router interface per VLAN quickly exhausts the physical interface capacity of a router. •Note: This method of inter-VLAN routing is no longer implemented in switched networks and is included for explanation purposes only. 4 – Inter-VLAN Routing 4.1 – Inter-VLAN Routing Operation 4.1.2 – Legacy Inter-VLAN Routing Router-on-a-Stick Inter-VLAN Routing •The ‘router-on-a-stick’ inter-VLAN routing method overcomes the limitation of the legacy inter-VLAN routing method. It only requires one physical Ethernet interface to route traffic between multiple VLANs on a network. •A Cisco IOS router Ethernet interface is configured as an 802.1Q trunk and connected to a trunk port on a Layer 2 switch. Specifically, the router interface is configured using subinterfaces to identify routable VLANs. •The configured subinterfaces are software-based virtual interfaces. Each is associated with a single physical Ethernet interface. Subinterfaces are configured in software on a router. Each subinterface is independently configured with an IP address and VLAN assignment. Subinterfaces are configured for different subnets that correspond to their VLAN assignment. This facilitates logical routing. •When VLAN-tagged traffic enters the router interface, it is forwarded to the VLAN subinterface. After a routing decision is made based on the destination IP network address, the router determines the exit interface for the traffic. If the exit interface is configured as an 802.1q subinterface, the data frames are VLAN-tagged with the new VLAN and sent back out the physical interface •Note: The router-on-a-stick method of inter-VLAN routing does not scale beyond 50 VLANs. 4 – Inter-VLAN Routing 4.1 – Inter-VLAN Routing Operation 4.1.3 – Router-on-a-Stick Inter-VLAN Routing Inter-VLAN Routing on a Layer 3 Switch •The modern method of performing inter-VLAN routing is to use Layer 3 switches and switched virtual interfaces (SVI). An SVI is a virtual interface that is configured on a Layer 3 switch, as shown in the figure. • •Note: A Layer 3 switch is also called a multilayer switch as it operates at Layer 2 and Layer 3. However, in this course we use the term Layer 3 switch. • 4 – Inter-VLAN Routing 4.1 – Inter-VLAN Routing Operation 4.1.4 - Inter-VLAN Routing on a Layer 3 Switch Inter-VLAN Routing on a Layer 3 Switch (Cont.) •Inter-VLAN SVIs are created the same way that the management VLAN interface is configured. The SVI is created for a VLAN that exists on the switch. Although virtual, the SVI performs the same functions for the VLAN as a router interface would. Specifically, it provides Layer 3 processing for packets that are sent to or from all switch ports associated with that VLAN. • •The following are advantages of using Layer 3 switches for inter-VLAN routing: •They are much faster than router-on-a-stick because everything is hardware switched and routed. •There is no need for external links from the switch to the router for routing. •They are not limited to one link because Layer 2 EtherChannels can be used as trunk links between the switches to increase bandwidth. •Latency is much lower because data does not need to leave the switch in order to be routed to a different network. •They more commonly deployed in a campus LAN than routers. •The only disadvantage is that Layer 3 switches are more expensive. • 4 – Inter-VLAN Routing 4.1 – Inter-VLAN Routing Operation 4.1.4 - Inter-VLAN Routing on a Layer 3 Switch (Cont.) 4.1.5 – Check Your Understanding – Inter-VLAN Routing Operation 4.2 Router-on-a-Stick Inter-VLAN Routing 4- Inter-VLAN Routing 4.2 – Router-on-a-Stick Inter-VLAN Routing Router-on-a-Stick Scenario •In the figure, the R1 GigabitEthernet 0/0/1 interface is connected to the S1 FastEthernet 0/5 port. The S1 FastEthernet 0/1 port is connected to the S2 FastEthernet 0/1 port. These are trunk links that are required to forward traffic within and between VLANs. •To route between VLANs, the R1 GigabitEthernet 0/0/1 interface is logically divided into three subinterfaces, as shown in the table. The table also shows the three VLANs that will be configured on the switches. •Assume that R1, S1, and S2 have initial basic configurations. Currently, PC1 and PC2 cannot ping each other because they are on separate networks. Only S1 and S2 can ping each other, but they but are unreachable by PC1 or PC2 because they are also on different networks. •To enable devices to ping each other, the switches must be configured with VLANs and trunking, and the router must be configured for inter-VLAN routing. • Subinterface VLAN IP Address G0/0/1.10 10 192.168.10.1/24 G0/0/1.20 20 192.168.20.1/24 G0/0/1.30 99 192.168.99.1/24 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.1 – Router-on-a-Stick Scenario S1 VLAN and Trunking Configuration •Complete the following steps to configure S1 with VLANs and trunking: •Step 1. Create and name the VLANs. •Step 2. Create the management interface. •Step 3. Configure access ports. •Step 4. Configure trunking ports. • 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.2 – S1 VLAN and Trunking Configuration S2 VLAN and Trunking Configuration The configuration for S2 is similar to S1. • 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.3 – S2 VLAN and Trunking Configuration R1 Subinterface Configuration •The router-on-a-stick method requires you to create a subinterface for each VLAN to be routed. A subinterface is created using the interface interface_id subinterface_id global configuration mode command. The subinterface syntax is the physical interface followed by a period and a subinterface number. Although not required, it is customary to match the subinterface number with the VLAN number. •Each subinterface is then configured with the following two commands: •encapsulation dot1q vlan_id [native] - This command configures the subinterface to respond to 802.1Q encapsulated traffic from the specified vlan-id. The native keyword option is only appended to set the native VLAN to something other than VLAN 1. •ip address ip-address subnet-mask - This command configures the IPv4 address of the subinterface. This address typically serves as the default gateway for the identified VLAN. •Repeat the process for each VLAN to be routed. Each router subinterface must be assigned an IP address on a unique subnet for routing to occur. When all subinterfaces have been created, enable the physical interface using the no shutdown interface configuration command. If the physical interface is disabled, all subinterfaces are disabled. • 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.4 – R1 Subinterface Configuration R1 Subinterface Configuration (Cont.) •In the configuration, the R1 G0/0/1 subinterfaces are configured for VLANs 10, 20, and 99. 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.4 – R1 Subinterface Configuration (Cont.) Verify Connectivity Between PC1 and PC2 •The router-on-a-stick configuration is complete after the switch trunk and the router subinterfaces have been configured. The configuration can be verified from the hosts, router, and switch. • •From a host, verify connectivity to a host in another VLAN using the ping command. It is a good idea to first verify the current host IP configuration using the ipconfig Windows host command. • •Next, use ping to verify connectivity with PC2 and S1, as shown in the figure. The ping output successfully confirms inter-VLAN routing is operating. 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.5 – Verify Connectivity Between PC1 and PC2 Router-on-a-Stick Inter-VLAN Routing Verification •In addition to using ping between devices, the following show commands can be used to verify and troubleshoot the router-on-a-stick configuration. •show ip route •show ip interface brief •show interfaces •show interfaces trunk • 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.6 – Router-on-a-Stick Inter-VLAN Routing Verification Packet Tracer– Configure Router-on-a-Stick Inter-VLAN Routing •In this Packet Tracer, you will complete the following objectives: •Part 1: Add VLANs to a Switch •Part 2: Configure Subinterfaces •Part 3: Test connectivity with Inter-VLAN Routing • 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.7 – Packet Tracer – Configure Router-on-a-Stick Inter-VLAN Routing Lab – Configure Router-on-a-Stick Inter-VLAN Routing •In this lab, you will complete the following objectives: •Part 1: Build the Network and Configure Basic Device Settings •Part 2: Configure Switches with VLANs and Trunking •Part 3: Configure Trunk-Based Inter-VLAN Routing • 4 – Inter-VLAN Routing 4.2 - Router-on-a-Stick Inter-VLAN Routing 4.2.8 – Lab– Configure Router-on-a-Stick Inter-VLAN Routing 4.3 Inter-VLAN Routing using Layer 3 Switches 4- Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches Layer 3 Switch Inter-VLAN Routing •Inter-VLAN routing using the router-on-a-stick method is simple to implement for a small to medium-sized organization (SMB). However, a large enterprise requires a faster, much more scalable method to provide inter-VLAN routing. • •Enterprise campus LANs use Layer 3 switches to provide inter-VLAN routing. Layer 3 switches use hardware-based switching to achieve higher-packet processing rates than routers. Layer 3 switches are also commonly implemented in enterprise distribution layer wiring closets. • •Capabilities of a Layer 3 switch include the ability to do the following: •Route from one VLAN to another using multiple switched virtual interfaces (SVIs). •Convert a Layer 2 switchport to a Layer 3 interface (i.e., a routed port). A routed port is similar to a physical interface on a Cisco IOS router. •To provide inter-VLAN routing, Layer 3 switches use SVIs. SVIs are configured using the same interface vlan vlan-id command used to create the management SVI on a Layer 2 switch. A Layer 3 SVI must be created for each of the routable VLANs. • 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.1 – Layer 3 Switch Inter-VLAN Routing Výřez obrazovky https://www.youtube.com/watch?v=NmkFzDrZsXM&t=42s Layer 3 Switch Scenario In the figure, the Layer 3 switch, D1, is connected to two hosts on different VLANs. PC1 is in VLAN 10 and PC2 is in VLAN 20, as shown. The Layer 3 switch will provide inter-VLAN routing services to the two hosts. 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.2 – Layer 3 Switch Scenario Layer 3 Switch Configuration •Complete the following steps to configure S1 with VLANs and trunking: •Step 1. Create the VLANs. In the example, VLANs 10 and 20 are used. •Step 2. Create the SVI VLAN interfaces. The IP address configured will serve as the default gateway for hosts in the respective VLAN. •Step 3. Configure access ports. Assign the appropriate port to the required VLAN. •Step 4. Enable IP routing. Issue the ip routing global configuration command to allow traffic to be exchanged between VLANs 10 and 20. This command must be configured to enable inter-VAN routing on a Layer 3 switch for IPv4. • 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.3 – Layer 3 Switch Configuration Layer 3 Switch Inter-VLAN Routing Verification •Inter-VLAN routing using a Layer 3 switch is simpler to configure than the router-on-a-stick method. After the configuration is complete, the configuration can be verified by testing connectivity between the hosts. •From a host, verify connectivity to a host in another VLAN using the ping command. It is a good idea to first verify the current host IP configuration using the ipconfig Windows host command. •Next, verify connectivity with PC2 using the ping Windows host command. The successful ping output confirms inter-VLAN routing is operating. 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.4 – Layer 3 Switch Inter-VLAN Routing Verification Routing on a Layer 3 Switch •If VLANs are to be reachable by other Layer 3 devices, then they must be advertised using static or dynamic routing. To enable routing on a Layer 3 switch, a routed port must be configured. • •A routed port is created on a Layer 3 switch by disabling the switchport feature on a Layer 2 port that is connected to another Layer 3 device. Specifically, configuring the no switchport interface configuration command on a Layer 2 port converts it into a Layer 3 interface. Then the interface can be configured with an IPv4 configuration to connect to a router or another Layer 3 switch. 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.5 - Routing on a Layer 3 Switch Routing Scenario on a Layer 3 Switch •In the figure, the previously configured D1 Layer 3 switch is now connected to R1. R1 and D1 are both in an Open Shortest Path First (OSPF) routing protocol domain. Assume inter-VLAN has been successfully implemented on D1. The G0/0/1 interface of R1 has also been configured and enabled. Additionally, R1 is using OSPF to advertise its two networks, 10.10.10.0/24 and 10.20.20.0/24. • •Note: OSPF routing configuration is covered in another course. In this module, OSPF configuration commands will be given to you in all activities and assessments. It is not required that you understand the configuration in order to enable OSPF routing on the Layer 3 switch. • 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.6 - Routing Scenario on a Layer 3 Switch Routing Configuration on a Layer 3 Switch •Complete the following steps to configure D1 to route with R1: •Step 1. Configure the routed port. Use the no switchport command to convert the port to a routed port, then assign an IP address and subnet mask. Enable the port. •Step 2. Enable routing. Use the ip routing global configuration command to enable routing. •Step 3. Configure routing. Use an appropriate routing method. In this example, Single-Area OSPFv2 is configured •Step 4. Verify routing. Use the show ip route command. •Step 5. Verify connectivity. Use the ping command to verify reachability. • 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.7 – Routing Configuration on a Layer 3 Switch •https://www.practicalnetworking.net/stand-alone/routing-between-vlans/ Praktický příklad Packet Tracer – Configure Layer 3 Switching and inter-VLAN Routing •In this Packet Tracer, you will complete the following objectives: •Part 1: Configure Layer 3 Switching •Part 2: Configure Inter-VLAN Routing •Part 3: Configure IPv6 Inter-VLAN Routing • 4 – Inter-VLAN Routing 4.3 – Inter-VLAN Routing using Layer 3 Switches 4.3.7 – Packet Tracer – Configure Layer 3 Switch and Inter-VLAN Routing 4.4 Troubleshoot Inter-VLAN Routing 4- Inter-VLAN Routing 4.4 – Troubleshoot Inter-VLAN Routing Common Inter-VLAN Issues •There are a number of reasons why an inter-VAN configuration may not work. All are related to connectivity issues. First, check the physical layer to resolve any issues where a cable might be connected to the wrong port. If the connections are correct, then use the list in the table for other common reasons why inter-VLAN connectivity may fail. Issue Type How to Fix How to Verify Missing VLANs •Create (or re-create) the VLAN if it does not exist. •Ensure host port is assigned to the correct VLAN. show vlan [brief] show interfaces switchport ping Switch Trunk Port Issues •Ensure trunks are configured correctly. •Ensure port is a trunk port and enabled. show interface trunk show running-config Switch Access Port Issues •Assign correct VLAN to access port. •Ensure port is an access port and enabled. •Host is incorrectly configured in the wrong subnet. show interfaces switchport show running-config interface ipconfig Router Configuration Issues •Router subinterface IPv4 address is incorrectly configured. •Router subinterface is assigned to the VLAN ID. show ip interface brief show interfaces 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.1 – Common Inter-VLAN Issues Troubleshoot Inter-VLAN Routing Scenario •Examples of some of these inter-VLAN routing problems will now be covered in more detail. This topology will be used for all of these issues. • Router R1 Subinterfaces Subinterface VLAN IP Address G0/0/0.10 10 192.168.10.1/24 G0/0/0.20 20 192.168.20.1/24 G0/0/0.30 99 192.168.99.1/24 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.2 – Troubleshoot Inter-VLAN Routing Scenario 1. Error: Missing VLANs •An inter-VLAN connectivity issue could be caused by a missing VLAN. The VLAN could be missing if it was not created, it was accidently deleted, or it is not allowed on the trunk link. • •When a VLAN is deleted, any ports assigned to that VLAN become inactive. They remain associated with the VLAN (and thus inactive) until you assign them to a new VLAN or recreate the missing VLAN. Recreating the missing VLAN would automatically reassign the hosts to it. • •Use the show interface interface-id switchport command to verify the VLAN membership of the port. 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.3 – Missing VLANs 2. Error: Switch Trunk Port Issues •Another issue for inter-VLAN routing includes misconfigured switch ports. In a legacy inter-VLAN solution, this could be caused when the connecting router port is not assigned to the correct VLAN. •However, with a router-on-a-stick solution, the most common cause is a misconfigured trunk port. •Verify that the port connecting to the router is correctly configured as a trunk link using the show interface trunk command. •If that port is missing from the output, examine the configuration of the port with the show running-config interface X command to see how the port is configured. 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.4 – Switch Trunk Port Issues 3. Error: Switch Access Port Issues •When a problem is suspected with a switch access port configuration, use verification commands to examine the configuration and identify the problem. • •A common indicator of this issue is the PC having the correct address configuration (IP Address, Subnet Mask, Default Gateway), but being unable to ping its default gateway. •Use the show vlan brief, show interface X switchport or show running-config interface X command to verify the interface VLAN assignment. • 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.5 – Switch Access Port Issues 4. Error: Router Configuration Issues •Router-on-a-stick configuration problems are usually related to subinterface misconfigurations. •Verify the subinterface status using the show ip interface brief command. •Verify which VLANs each of the subinterfaces is on. To do so, the show interfaces command is useful but it generates a great deal of additional unrequired output. The command output can be reduced using IOS command filters. In this example, use the include keyword to identify that only lines containing the letters “Gig” or “802.1Q” 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.6 – Router Configuration Issues 4.4.7 – Check Your Understanding – Troubleshoot Inter-VLAN Routing Packet Tracer – Troubleshoot Inter-VLAN Routing •In this Packet Tracer activity, you will complete the following objectives: •Part 1: Locate Network Problems •Part 2: Implement the Solution •Part 3: Verify Network Connectivity • 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.8 – Packet Tracer – Troubleshoot Inter-VLAN Routing Lab – Troubleshoot Inter-VLAN Routing •In this lab, you will complete the following objectives: •Part 1: Build the Network and Load Device Configurations •Part 2: Troubleshoot the Inter-VLAN Routing Configuration •Part 3: Verify VLAN Configuration, Port Assignment and Trunking •Part 4: Test Layer 3 Connectivity • 4 – Inter-VLAN Routing 4.4 - Troubleshoot Inter-VLAN Routing 4.4.9 – Lab – Troubleshoot Inter-VLAN Routing 4.5 Module Practice and Quiz 4- Inter-VLAN Routing 4.5 – Module Practice and Quiz Packet Tracer – Inter-VLAN Routing Challenge •In this Packet Tracer activity, you will demonstrate and reinforce your ability to implement inter-VLAN routing, including configuring IP addresses, VLANs, trunking, and subinterfaces. 4 – Inter-VLAN Routing 4.5 – Module Practice and Quiz 4.5.1 – Packet Tracer – Inter-VLAN Routing Challenge Lab– Implement Inter-VLAN Routing •In this lab, you will complete the following objectives: §Part 1: Build the Network and Configure Basic Device Settings §Part 2: Create VLANs and Assign Switch Ports §Part 3: Configure an 802.1Q Trunk between the Switches §Part 4: Configure Inter-VLAN Routing on the S1 Switch §Part 5: Verify Inter-VLAN Routing is Working § 4 – Inter-VLAN Routing 4.5 – Module Practice and Quiz 4.5.2 – Lab – Implement Inter-VLAN Routing §Směrování mezi VLAN je proces předávání síťového provozu z jedné VLAN do jiné VLAN.Tři možnosti zahrnují starší verzi, router-on-a-stick a přepínač L3 pomocí SVI. §Chcete-li nakonfigurovat přepínač s VLAN a trunkovou sítí, proveďte následující kroky: vytvořte a pojmenujte VLAN, vytvořte rozhraní pro správu, nakonfigurujte přístupové porty a nakonfigurujte porty trunkové sítě. §Metoda router-on-a-stick vyžaduje, aby bylo pro každou směrovanou VLAN vytvořeno subinterface. Subinterface je vytvořeno pomocí příkazu interface_id v rozhraní režimu globální konfigurace interface_id. §Aby mohlo dojít ke směrování, musí být každému podřízenému rozhraní směrovače přiřazena adresa IP v jedinečné podsíti. Po vytvoření všech podrozhraní musí být fyzické rozhraní povoleno pomocí konfiguračního příkazu bez vypnutí rozhraní. §Enterprise Campus LAN používají přepínače vrstvy 3 k zajištění směrování mezi VLAN. Přepínače L3 využívají hardwarové přepínání k dosažení vyšší rychlosti zpracování paketů než směrovače. §Schopnosti přepínače vrstvy 3 zahrnují směrování z jedné VLAN do druhé pomocí více přepínaných virtuálních rozhraní (SVI) a převod switchportu vrstvy 2 na rozhraní vrstvy 3 (tj. směrovaný port). §K zajištění směrování mezi VLAN používají přepínače vrstvy 3 SVI. SVI se konfigurují pomocí stejného příkazu vlan vlan-id, který se používá k vytvoření SVI pro správu na přepínači vrstvy 2. Co jsme se naučili (1/2) §Chcete-li nakonfigurovat přepínač s VLANy a trunkovou sítí, proveďte následující kroky: vytvořte VLANy, vytvořte rozhraní SVI VLAN, nakonfigurujte přístupové porty a povolte směrování IP. §Chcete-li povolit směrování na přepínači L3, je třeba nakonfigurovat routed (směrovaný) port. Směrovaný port je vytvořen na přepínači vrstvy 3 deaktivací funkce switchport na portu vrstvy 2, který je připojen k jinému zařízení vrstvy 3. Rozhraní lze nakonfigurovat s konfigurací IPv4 pro připojení k routeru nebo jinému přepínači vrstvy 3. §Chcete-li nakonfigurovat přepínač vrstvy 3 na směrování pomocí směrovače, postupujte takto: nakonfigurujte směrovaný port, povolte směrování, nakonfigurujte směrování, ověřte směrování a ověřte připojení. §Existuje celá řada důvodů, proč konfigurace mezi VAN nemusí fungovat. Všechny souvisejí s problémy s připojením, jako jsou chybějící VLAN, problémy s trunkovým portem přepínače, problémy s přístupovým portem přepínače a problémy s konfigurací routeru. §VLAN může chybět, pokud nebyla vytvořena, byla omylem odstraněna nebo není povolena na kmenovém odkazu. §Dalším problémem směrování mezi VLAN jsou nesprávně nakonfigurované porty přepínačů. §V zastaralém řešení mezi VLAN může být nesprávně nakonfigurovaný port přepínače způsoben, když připojovací port routeru není přiřazen ke správné VLAN. Co jsme se naučili (2/2) What Did I Learn In This Module? •Inter-VLAN routing is the process of forwarding network traffic from one VLAN to another VLAN. •Three options include legacy, router-on-a-stick, and Layer 3 switch using SVIs. •To configure a switch with VLANs and trunking, complete the following steps: create and name the VLANs, create the management interface, configure access ports, and configure trunking ports. •The router-on-a-stick method requires a subinterface to be created for each VLAN to be routed. A subinterface is created using the interface interface_id subinterface_id global configuration mode command. •Each router subinterface must be assigned an IP address on a unique subnet for routing to occur. When all subinterfaces have been created, the physical interface must be enabled using the no shutdown interface configuration command. •Enterprise campus LANs use Layer 3 switches to provide inter-VLAN routing. Layer 3 switches use hardware-based switching to achieve higher-packet processing rates than routers. •Capabilities of a Layer 3 switch include routing from one VLAN to another using multiple switched virtual interfaces (SVIs) and converting a Layer 2 switchport to a Layer 3 interface (i.e., a routed port). •To provide inter-VLAN routing, Layer 3 switches use SVIs. SVIs are configured using the same interface vlan vlan-id command used to create the management SVI on a Layer 2 switch. § 4 – Inter-VLAN Routing 4.5 – Module Practice and Quiz 4.5.3 – What Did I Learn In This Module? What Did I Learn In This Module? (Cont.) •To configure a switch with VLANS and trunking, complete the following steps: create the VLANS, create the SVI VLAN interfaces, configure access ports, and enable IP routing. •To enable routing on a Layer 3 switch, a routed port must be configured. A routed port is created on a Layer 3 switch by disabling the switchport feature on a Layer 2 port that is connected to another Layer 3 device. The interface can be configured with an IPv4 configuration to connect to a router or another Layer 3 switch. •To configure a Layer 3 switch to route with a router, follow these steps: configure the routed port, enable routing, configure routing, verify routing, and verify connectivity. •There are a number of reasons why an inter-VLAN configuration may not work. All are related to connectivity issues such as missing VLANs, switch trunk port issues, switch access port issues, and router configuration issues. •A VLAN could be missing if it was not created, it was accidently deleted, or it is not allowed on the trunk link. •Another issue for inter-VLAN routing includes misconfigured switch ports. •In a legacy inter-VLAN solution, a misconfigured switch port could be caused when the connecting router port is not assigned to the correct VLAN. § 4 – Inter-VLAN Routing 4.5 – Module Practice and Quiz 4.5.3 – What Did I Learn In This Module? (Cont.) What Did I Learn In This Module? (Cont.) •With a router-on-a-stick solution, the most common cause is a misconfigured trunk port. •When a problem is suspected with a switch access port configuration, use ping and show interfaces interface-id switchport commands to identify the problem. •Router configuration problems with router-on-a-stick configurations are usually related to subinterface misconfigurations. Verify the subinterface status using the show ip interface brief command. § 4 – Inter-VLAN Routing 4.5 – Module Practice and Quiz 4.5.3 – What Did I Learn In This Module? (Cont.) 4.5.4 – Module Quiz – Inter-VLAN Routing New Terms and Commands §Inter-VLAN Routing §Router-on-a-Stick §encapsulation dot1q X [ native ] §no switchport §router ospf §ip routing •Téma 4.1 •Co podle vás přispívá k omezení počtu VLAN podporovaných Router-on-a-Stick Inter-VLAN Routing? •Jaký je podle vás rozdíl mezi interface loopbacku routeru a subinterface routeru? •Téma 4.2 •Jaká je primární výhoda uspořádání Router-on-a-stick na rozdíl od Legacy Inter-VLAN Routing? •Jak router zpracovává nativní VLAN? •Téma 4.3 •Jaké jsou největší úspory, kterých můžete dosáhnout při použití přepínače L3 jako směrovače Inter-VLAN? •Jaký je dopad příkazu no switchport? •Téma 4.4 •Co je podle vás nejčastější příčinou chyb při implementaci směrování Inter-VLAN? •Jaký druh směrování Inter-VLAN je podle vás vhodný z hlediska nejnižšího počtu chyb při implementaci? 52 Klasické firewally paketový filtr Filtrov. pravidla paket paket paket paket paket proxy router router aplikační vrstva aplikační vrstva síťová vrstva síťová vrstva aplikační brána 1. generace firewallů má počátek v roce 1985. Tyto firewally dostaly název ”paketové filtry”, protože filtrují pakety na úrovni síťových adres a čísel portů. 2. generace firewallů je z let 1989 až 1990 - tzv. „circuit relays“ viz SOCK4 pracující nad protokolem TCP (viz RFC 1928) a SOCK5 pracující navíc nad protokolem UDP (viz RFC 1929). Tyto hrají ve vztahu ke klientovi roli serveru a ve vztahu k serveru roli klienta. Umožňují nejen filtrovat, ale i pohodlně auditovat. Zpracování probíhá na úrovni soketů, univerzálně pro všechny aplikace. Neboli bezpečné oddělení procesů, poměrně rychlé zpracování, ale bez rozlišení mezi aplikacemi. Největším nedostatkem zde je nutnost instalovat u každého klienta speciální modul. 3. generace firewallů tvoří aplikační proxy (resp. brány). Liší se od předchozího typu tím, že na firewallu je místo jedné dvojice procesů server – klient celá sada takovýchto dvojic (proxy) – pro každý proces zvlášť. To umožňuje filtrovat a auditovat každou aplikaci samostatně (např. u FTP zakazovat selektivně GET a PUT, u HTTP GET a POST atd.). Tuto analýzu zajišťuje samostatný programový modul. Problémů je zde řada: Proxy služby nahrazují na firewallu standardní protokolový zásobník, protože proxy servery naslouchají na stejných portech jako síťové servery, nelze na firewallu provozovat standardní síťové servery, tento proces je už pomalejší, zpožďují i obvyklá dodatečná hesla a validační procedury, při objevení se nového protokolu je třeba čekat na vytvoření nového proxy výrobcem. 53 Další firewally • dynamické filtry • kernel proxy • adaptivní proxy 4. generace firewallů dostala název dynamické filtry a používá metodu nazvanou ”Statefull Inspection”. Firewally pracují se stavovými tabulkami jednotlivých protokolů a jsou tedy schopny kontrolovat stav komunikace s využitím znalosti předchozích stavů. U tohoto typu firewallu jsou problémy s protokoly pracujícími bez navázání spojení řešeny tak, že je vytvořeno krátkodobé virtuální spojení, které registruje dotazy a kontroluje, zda je k nim odpověď adekvátní. První komerční produkt uvedla na trh izraelská firma Check Point Software v roce 1994 pod názvem Firewall-1. 5. generace firewallů dostala název ”Kernel Proxy“. Bezpečnostní kontroly se provádí v jádře Windows NT. Protokolový zásobník TCP/IP je vytvářen dynamicky mimo jádro, dynamicky jsou vytvářena i potřebná proxy. Na bázi této technologie byl vytvořen Centri Firewall firmy Cisco. 6. generace firewallů se nazývá ”Adaptive Proxy”. Tato metoda je jistou kombinací aplikačního proxy s dynamickým filtrováním. Počáteční bezpečnostní prověrka prvních paketů probíhá na aplikační úrovni jako u aplikačních proxy. Po ukončení této prověrky je další inspekce přesunuta na síťovou úroveň, jak to činí dynamické filtry. Tento proces může být i reversní. Danou technologii používá Firewall Gauntlet firmy Network Associates od verze 5.0. Spolupracuje s vulnerability skenerem (CyberCop), monitorem detekce průniku a antivirovým skenerem. Nechť například v noci CyberCop objeví závažnou bezpečnostní slabinu. Firewall se sám za běhu přepne do režimu aplikačního proxy, ve kterém běží do příchodu a zásahu svého správce. 54 Protokoly, které bývají cílem útoku TFTP X-Window RPC Telnet FTP SMTP RIP DNS UUCP NNTP NTP HTTP · TFTP (port 69), který je používán pro bootování bezdiskových pracovních stanic, terminálových serverů a směrovačů. Může být ovšem v případě, že není vhodně odblokován, použit i pro čtení libovolného souboru systému. · X-Window (port 6000 a další) a Open Windows (port 2000), kdy mohou unikat informace z obrazovek stanic X-serverů, včetně stisků kláves. · RPC (port 111), kdy může být protokol NFS nebo NIS zneužit ke krádeži systémové informace (např. hesla) resp. ke čtení nebo zápisu souborů. Ostatní služby, ať již jsou bezprostředně nebezpečné či ne, jsou obvykle filtrovány a omezovány pouze pro ty systémy, které je využívají. Konkrétně se to týká následujících protokolů: · Telnet (port 23), který bývá často omezen ve vztahu k jednotlivým systémům. · FTP (porty 20 a 21), kterého se to týká rovněž. · SMTP (port 25), přes který se často omezuje přístup k centrálnímu poštovnímu serveru. · RIP (port 520), který může být zneužit k přesměrování směrovacích paketů. · DNS (port 53), kdy DNS server registruje jména hostů a obsahuje další informace, které mohou být útočníkovi užitečné. · UUCP (port 540), který může být při nesprávné konfiguraci na některém serveru využit pro neautorizovaný přístup. · NNTP (port 119), používaný pro čtení zpráv v síti. · NTP (port 123), který se používá pro nastavení systémových hodin. · Gopher (port 70) a HTTP (port 80), které se omezují ve směru k aplikační bráně, která obsahuje proxy služby. 55 Dodatečné funkce mění firewall v UTM resp. NGFW • tunelování • translace adres • autentizace uživatelů • detekce průniků • blokace, restrikce a antivirový nástroj • podpora demilitarizovaného portu • vzdálené řízení nastavování • alarmy • kešování informací atd. · Tunelování, tj. vytváření sítí VPN (Virtual Private Network). · Translace adres - NAT (Network Address Translation), kdy všem adresám vnitřní LAN je přiřazena jedna nebo sada IP adres. · Autentizace uživatelů přihlašovaných z vnější sítě. · Detekce průniků, např. DoS (Denial of Service) Attack - útok, který si klade za cíl ne ukradnout nějakou informaci, ale vyřadit některý z prvků sítě z činnosti (realizací je např. Ping of Death, SYN Flood, LAND Attack, IP Spoofing, atd.). Testován byl např. široce používaný nástroj ”WinNuke”, který je určen k vyřazení vzdáleného PC. Známý DoS útok má název ”Smurf Attack” z listopadu roku 1997: útočník rozešle velké množství pingů s podvrženou adresou odesilatele, za kterou si vybere adresu počítače, na který chce útočit. Tyto počítače odpoví pakety ”ping reply” a vyhlédnutý počítač je těmito pakety zahlcen. · Blokování prvků Javy a ActiveX. Zvláště prvky ActiveX mohou sloužit jako prostředky útoku. · Podpora demilitarizovaného portu a jeho ochrana před útoky typu DoS. · Vzdálené řízení, kdy řídicí příkazy jsou přenášeny v zašifrované podobě. · Vzdálené nastavování konfigurace směrovačů. · Vydávání varovných zpráv (alarmů). · Detekce příznaků virů a odesílání podezřelých paketů ke zpracování antivirovým software na jiném počítači. · Nástroje pro restrikci nežádoucích informací (odvádějící od pracovního výkonu atd.). · Kešování užitečné informace. §UTM byly původně firewally kategorie SMB rozšířené o funkce IDS/IPS, antimalwaru, antispamu a filtrování obsahu v jediném snadno spravovatelném zařízení. Nověji přidaly funkce, jako je VPN, vyvažování zátěže a prevence ztráty dat (DLP), a jsou stále častěji dodávány jako služba prostřednictvím cloudu. §NGFW kombinují tradiční filtrování portů a protokolů s funkcemi IDS/IPS a schopností detekovat provoz na aplikační vrstvě; postupem času přidali další funkce, jako je hloubková kontrola paketů a detekce malwaru. §Ochrana proti malwaru a virům, webový proxy a další, které existují v bráně firewall UTM, nejsou původní součástí architektury NGFW, protože tyto linie byly původně outsourcovány a odstraněny, což zajistilo bohaté stupně škálovatelnosti pro velká prostředí. UTM (unified threat management) a NGFW (nextgen FW) Výrobci NGEW a UTM Obrana průmyslových zařízení pomocí zónové obrany 58 §Speciální firewally (conduits) mají pomocí seznamů povolených příkazů zabránit přelévání problémů z jedné zóny do druhé. Řada od sebe oddělených zón umožňuje realizovat tzv. obranu v hloubce. § §Typickým conduitem je např. Tofino Security Appliance (TSA): triconex_tofino_firewall_lite.jpg Schéma typického průmyslového objektu – zde elektrárny 59 typicka architektura elektrarny.png Příklad rozdělení řízení elektrárny do jednotlivých úrovní 60 bezpečnostní úrovně.png 61 typ 1 Dual Homed Gateway D:\dockalnovy\Telecom\Obrazky\Switch\1_skripta (1).wmf Jedná se o typ zvaný dual-homed gateway v podobě polointeligentní brány, řídící komunikaci mezi vnitřní sítí a vnější sítí. Filtrují se vstupní a výstupní toky protokolové sady TCP/IP a to tak, že se první paket protokolu TCP testuje na bit SYN. Co se zde bude filtrovat: § interní a externí elektronická pošta, § prezentace uživatele vnitřní sítě pomocí web serveru, § nabídka veřejně přístupných souborů cestou ftp serveru, § stahování souborů z cizích ftp serverů, § stahování stránek z cizích web serverů, § přístup k vybraným údajům databáze, § komunikaci mezi lokálním a předsunutým DNS. Přístup k databázi je třeba realizovat přes web server. Řízení přístupu je třeba zajistit cestou řízení přístupu k jednotlivým stránkám. Touto možností žádný z běžných web serverů nedisponuje a tak je třeba zvýšit úroveň ochrany pomocí speciálního software. Důležitým úkolem je translace adres. V oblasti bezpečnosti jsou preferována jednoduchá řešení. Proto je pro tuto variantu nejlepší řešení volba Linux systému, resp. jeho IP firewall administrace – ipfawdm resp. ipchain. Ta je schopna provádět inspekci bitů SYN, ACK a TOS (Type of Service). 62 typ 2 Předsunutá obrana D:\dockalnovy\Telecom\Obrazky\Switch\2_skripta (2).wmf Zde je směrovač použit k odblokování nežádoucího přístupu a odfiltrování nepoužívaných služeb. Dá se to považovat za jistou předsunutou linii obrany. Zvlášť vytvořená proxy umožňují vyšší úroveň ochrany sítě mj. loggingem a auditem. Zasílání pošty je zajištěno tak, že je nejprve pomocí protokolu SMTP vytvořeno spojení mezi počítačem uživatele a interním mail serverem, dopis je přenesen do interního serveru. Tam je dopis uložen a dále zpracován pomocí protokolu POP 3 (Post Office Protocol) anebo IMAP (Internet Message Access Protocol). Od interního serveru je pak přenesen cestou proxy do externí sítě. Příjem pošty probíhá obdobně: protože externí DNS server je nakonfigurován s MX (Mail Exchanger) záznamem pro mail relay, takže veškerá pošta je zasílána na proxy. Z proxy je pošta přímo (forward) odeslána na lokální server po samostatném spojení. Z lokálního mail serveru je pošta rozesílána jednotlivým uživatelům. Interní DNS je nakonfigurován jako cache DNS a primární pro svou doménu. Všechny interní adresy jsou chráněné. Strategie obrany zde vychází z rozložení služeb na více serverů, použití odlišných technologií a operačních systémů. 63 typ 3 Diverzifikovaná obrana D:\dockalnovy\Telecom\Obrazky\Switch\3_skripta.wmf Třetí možností kam umístit web a ftp server je na DMZ vytvořené pomocí třetí karty v proxy a připojení k ní web a ftp serveru. Tím je uplatněna zásada ”diverzifikované obrany”. 64 typ 4 Screen subnet D:\dockalnovy\Telecom\Obrazky\Switch\4_skripta.wmf Tato konfigurace se také nazývá ”screened subnet”. Proxy server zde není tranzitní (s dvěma rozhraními), ale je umístěn způsobem zvaným ”bašta”, tj. s jediným rozhraním. V této variantě je použit převod adresy (NAT), který umožňuje skrýt vnitřní adresy sítě a mapovat je do jedné či více externích adres. DMZ je vytvořena mezi filtrujícím firewallem a firewallem s NAT. Komunikace pro web a ftp jsou z firewallů na okraji DMZ směrována na ftp a web servery uvnitř DMZ a všechny ostatní komunikace na baštu. 65 typ 5 Polopropustná zeď D:\dockalnovy\Telecom\Obrazky\Switch\5_skripta.wmf Profesionální databázové systémy disponují prostředky k zrcadlení vybraných částí báze dat. K zrcadlené databázi pak lze omezit přístup na READ ONLY, pokud dotaz nepřichází z vnitřní databáze. Výhodou této varianty je, že zde jsou eliminovány dotazy na databázi zvně do vnitřní sítě. Nevýhodou je, že dochází k jistému zpoždění při aktualizaci zrcadlené databáze. Další server, který je v této variantě předsunut do DMZ je mail server. Tady je ale třeba vysoké opatrnosti, protože mohou být vystaveny útoku privátní poštovní účty. Výsledkem tohoto řešení je, že není důvod, aby byla zvenčí navazována komunikace s vnitřní sítí. Tato koncepce se nazývá ”koncepce polopropustné zdi”. 66 typ 6 Context vectoring D:\dockalnovy\Telecom\Obrazky\Switch\6_skripta.wmf Varianta 6 je doplněna o kontextní skenování a skenování virů. Použita je technika známá pod názvem ”context vectoring”. Eliminovat lze různé SPAMy v poště, attachmenty MIME pošty, URL ukazující na diskutabilní zdroje, nežádoucí Java aplety, škodlivé ActiveX kódy, viry atd. 67 typ 7 Metafirewall D:\dockalnovy\Telecom\Obrazky\Switch\7_skripta.wmf Poslední variantou je varianta založená na čtyřech principech: • maximální segregace služeb (co služba, to server), • přidání další linie obrany (zde firewall s NAT), • vnitřní síť je chráněná stateful firewallem nakonfigurovaným tak, aby byl neviditelný mimo vnitřní síť (stealth firewall, resp. transparent firewall), stateful firewall sleduje pouze kontext komunikačního procesu, • polopropustná zeď – pakety mohou být přenášeny jen z vnitřní sítě ven. Sada takovýchto firewallů bývá v odborné literatuře nazývána jako ”meta-firewall”. Ani tento přístup nezajišťuje absolutní bezpečnost sítě, i když se k ní při správné administraci velmi přibližuje. Problém je například detekovat, jestli není nějaký nebezpečný protokol zapouzdřen v jiném dobře známém protokolu (tunelování). Ani proxy nejsou schopny bránit hrozbám plynoucím z použití takových protokolů jako je RPC, protože tyto protokoly mapují porty TCP resp. UDP dynamicky. Další problémy nastanou s příchodem protokolu IPv6. Firewally je proto třeba doplňovat (detektory průniků, které chrání vnitřní síť v rámci obrany v hloubce). Ukázka potencionálních otázek testu Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Kolik je tam broadcast domén? (8) Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky Výřez obrazovky ‹#› © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Výřez obrazovky ‹#› © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Výřez obrazovky Výřez obrazovky Výřez obrazovky